API 登録
この REST API を Microsoft Identities を認証に使用して利用し、SCEP スタイルの認証を必要とする SCEP エンドポイントの代替として証明書を登録します。
SCEPman Enterprise Edition のみ
SCEPman は証明書を登録するための REST API を備えています。これは SCEP スタイルの認証を必要とする SCEP エンドポイントの代替であり、REST API は認証に Microsoft Identities を使用します。プロトコルも SCEP よりはるかにシンプルです。
前提条件
1. サービス プリンシパル
API 権限
CSR.Request.Db
次を実行して必要な権限を割り当てます: Register-SCEPmanApiClient SCEPman PowerShell モジュールの cmdlet。
例:
Register-SCEPmanApiClient -ServicePrincipalId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxServicePrincipalId
NAC ソリューションが Intune デバイス ID を基にデバイスを識別するために使用されます。値は次のようにする必要があります: オブジェクト ID 補完する〜の Enterprise アプリケーション 前の手順で作成したアプリ登録のもの。これは通常 SCEPman 自体を識別する SCEPman-api と名付けられた Enterprise アプリケーションを指すものではないことに注意してください。
手動でこの権限を割り当てるには次へ移動できます: API 権限 そして〜から権限を追加します あなたの組織が使用する権限を使用して行うことができます。アカウントに CSR.Request.Db からの権限 SCEPman-api として アプリケーション権限.
Application.Read.All(オプション)
サービス プリンシパル もまた Graph 権限を必要とします Application.Read.All SCEPman の API スコープを認証のために自動取得できるようにするためです。
権限は次のように手動で追加できます:
2. アプリ サービス設定
構成
証明書の更新に必要
SCEPman App Service を mTLS クライアント証明書を受け入れるように構成します。設定セクションの構成ブレードで、受信クライアント証明書のクライアント証明書モードが次のように設定されていることを確認してください オプション インタラクティブ ユーザー.
クライアント証明書モードを Require または Allow に設定しないでください。そうすると SCEP エンドポイント上での SCEPman の通常の動作が破損します!
環境変数
このシナリオを利用するには、SCEPman アプリ サービスに次の環境変数を設定する必要があります。
証明書の登録および更新に必要
この変数を次に設定してください true 証明書署名要求(CSR)の検証を有効にするには。
証明書の更新に必要
この変数を次に設定してください true 証明書の更新を有効にするには。
証明書の更新に必要
この変数を更新を許可したい証明書タイプのカンマ区切りリストに設定してください。可能な証明書タイプの一覧はリンクされた変数ドキュメントを参照してください。
例: Static,IntuneUser,IntuneDevice
証明書の登録
前提条件を準備したら、PKCS#10/CMS を次の HTTP パスに POST できます api/csr。HTTP レスポンスは DER エンコーディングの新規発行証明書になります。
SCEPman は発行されたすべての証明書を自動的にストレージ アカウントに保存するため、Certificate Master コンポーネントを通じて一覧表示や失効を簡単に行えます。
それらのリクエストを送信する便利な方法は、SCEPmanClient PowerShell モジュールです:
SCEPmanClientその他の例
次を参照してください GitHub のオープンソース サンプル ライブラリ で SCEPman の REST API の使用方法を確認できます。
最終更新
役に立ちましたか?